主题：江民公布2003年十大病毒排行榜

2003年网络是不平静的一年，不管是对世界还是对中国：世界上有伊拉克战争，中国有非典。 　　计算机反病毒界也从来都不安分， 引起全社会广泛关注的是今年8月份，北京江民科技国内率先截获的"冲击波"网络蠕虫，它的出现对整个微软的最新"最安全"的XP系统等构成了很大的威胁，一时，全世界上上下下，"进补"不断，同时也引起了人们对操作系统安全的普遍关注。反病毒界也因为"冲击波"病毒而大放异彩，再次受到全社会的关注，与当年的CIH病毒引起的轰动有过之而无不及。 　　综观全年的比较有影响的病毒，网络蠕虫成为对网络安全危害最大的病毒类型，其中"冲击波"病毒已经取代去年的"求职信"，成为2003年"毒王"。但是，一些最传统的病毒也不容忽视，比如说引导区病毒PolyBoot(WYX.B)，今年仍有不少利用软盘传递文件的单位和个人不幸中招，它提醒人们在预防最新的网络蠕虫、黑客程序、特洛伊木马程序的同时，别忘了对最传统病毒的防范。 　　国内领先的信息安全服务和提供商江民科技根据一年来监测和收到的用户反馈数据作为依据，排出了2003年度十大计算机病毒。 1 I-Worm/Blaster 冲击波 2 I-Worm/Sobig.(x) 好大网络蠕虫系列 3 I-Worm/Supkp.(x) 超级密码007系列 4 I-Worm/Mimail.(x) 邮米网络蠕虫系列 5 I-Worm/Swen 四维网络蠕虫 6 I-Worm/Chian 冲击波杀手网络蠕虫 7 I-Worm/Fizzer 嘶嘶声网络蠕虫 8 Worm.SQL.helkerm SQL杀手 9 Win32/FunLove.4099 10 PolyBoot(WYX.B) 1、I-Worm/Blaster 冲击波 　　I-Worm/Blaster冲击波病毒(也称"暴风雨"病毒)是一种网络蠕虫，江民截获到的病毒样本大小为6176字节，感染的操作系统为Windows2000和Windows XP系统。病毒会下载并运行病毒文件Msblast.exe，最终会导致机器停止响应并频繁重启。系统每次重新启动后，该蠕虫都会自动运行。然后，病毒通过 DCOM RPC 漏洞向网络上特定段的机器进行攻击。向该随机段IP段的机器的所有135端口发布攻击代码，成功后，在TCP的端口4444创建cmd.exe。 "冲击波"病毒还能接受外界的指令，在UDP的端口69上接受指令，发送文件Msblast.exe 网络蠕虫主体。在特定的时间内会对微软的windowsupdate.com补丁升级网站实行DoS(拒绝服务)攻击。 　　2、I-Worm/Sobig.(x) 好大网络蠕虫 　　I-Worm/Sobig("好大"病毒)至今已出现五种以上的变种，I-Worm/Sobig系列的蠕虫病毒均可以自动搜索邮件地址，所有可能包含邮件地址的wab、dbx、htm和html、eml、txt格式的文件都在其搜索之列，然后疯狂向找到的Email地址发送含有该蠕虫的信件。邮件地址的发送人都是写假装的地址、不要真的以为是那些人发送给您的该网络蠕虫。发送邮件的地址有的甚至被设为雅虎的技术支持信箱support@yahoo.com。此外该病毒也可以搜索可写的网络邻居上的机器的目录，将自身拷贝到该目录下。 　　3、I-Worm/Supkp.(x) 超级密码007系列 　　I-Worm/Supkp("超级密码杀手007"病毒)是一个集蠕虫程序、后门程序、黑客程序于一身的病毒。江民公司已截获该病毒的许多变种。该病毒利用ipc进行guest和Administrator帐号的简单密码探测，如果成功,将尝试将自己复制到远程系统并试图注册成服务。它会修改系统注册表的关联部分，使得系统对纯文本的操作就能激活该网络蠕虫。病毒可以释放出后门程序，还可以盗取用户密码,并发送到指个邮箱。 　　4、I-Worm/Mimail.(x) 邮米网络蠕虫系列 　　I-Worm/Mimail(邮米病毒)是通过微软的电子邮件客户端程序来传播、感染的。邮件的主题是可能变化的字符串。附件是病毒体，是一个压缩文件，病毒的大小是：16KB。可以感染包括Windows 9x,Windows NT,Windows 2000,Windows XP以及 Windows ME等流行的Windows平台。除了具备一些网络蠕虫的常规特性外，该病毒还有其自己的特色，该蠕虫是以ZIP压缩包的形式来传播，以前人们普遍的观念认为ZIP压缩中一般不会有病毒，从而受好奇心的驱使对压缩包。目前为止该病毒已经频繁出现多个变种，均被江民公司一一截获。 5、I-Worm/Swen 四维网络蠕虫 　　I-Worm/Swen("四维"病毒)是用C++编写的.病毒长度：106,496 字节。该病毒可以影响目前流行的所有Windows平台(包括：Win 95/98/Me/NT/2000/XP以及Windows Server 2003) 　　它的传播方式有很多种，包括：电子邮件，KaZaA, IRC，网络共享以及新闻组等。通过邮件发送传播时它的主题、内容、以及发送Mail的地址都是随机变化的。病毒一旦感染系统并运行时，会出现一个对话框，假装是"Microsoft Internet Update Pack."(微软的升级包)，并试图结束大部分安全软件进程，以躲避反病毒软件查杀。 　　6、I-Worm/Chian 冲击波杀手网络蠕虫 　　I-Worm/Chian("冲击波杀手")病毒通过向网络发送大量的数据包，对特定IP段进行疯狂扫描，如果发现冲击波病毒，即将其删除，并立刻登录微软网站下载RPC漏洞补丁。该病毒是病毒炮制者利用一种黑客程序改编而成，虽然病毒炮制者的初衷是为了反"冲击波"病毒，但却造成了系统不稳定运行、重新启动、死机等，使网络流量剧增，最终导致许多网络瘫痪的后果。病毒长度是10240字节，截获的文件名称：dllhost.exe，感染系统：Windows XP和Windows 2000 ，传播途径：利用微软的多重漏洞 　　7、 I-Worm/Fizzer 嘶嘶声网络蠕虫 　　I-Worm/Fizzer蠕虫病毒可以修改系统的TXT文件的关联，在感染系统的机器中，只要用户打开纯文本文件即可激活该网络蠕虫程序。该病毒发作时不但可以通过邮件、IRC聊天工具进行传播，而且还会记录键盘敲击，自动升级自身代码，终止很多反病毒软件的运行、查杀，最狡猾之处就是该病毒会加密存放许多配置数据，以使得一般的用户很难以获得其资源信息。它隐藏自己的方法非常特别，当要隐藏自己的时候，它会自动在WINDOWS目录下寻找一个正常的文件，然后将自身的代码注入到该文件，但是该文件的属性、版权信息、文件右键信息文件等看起来都是正常的，而实际上该文件已经被该蠕虫替换了真正的代码。 8、 Worm.SQL.helkerm SQL杀手 　　"SQL杀手"病毒是一个罕见的病毒体极短小而传播性极强的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播，在传播中进入一个死循环，在该循环中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码发送至1434/UDP端口(Microsoft SQL Server开放端口)，该蠕虫传播速度极快，它使用广播数据包方式发送自身代码，每次均攻击子网中所有255台可能存在机器。易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器，包括WinNT/Win2000/WinXP等。该蠕虫并未感染或者传播文件形式病毒体，纯粹在内存中进行蔓延。 　　9、Win32/FunLove.4099 　　Win32/FunLove.4099病毒是驻留内存的Win32病毒， 它感染本地和网络中的PE-EXE文件。病毒本身就是只具有'.code'部分PE格式的可执行文件。当染毒的文件被运行时，该病毒将在Windows\system目录下创建FLCSS.EXE文件，并运行这个生成的文件。传染模块将扫描本地从 C: to Z:的所有驱动器，然后搜索网络资源，扫描网络中的子目录树并感染具有.OCX,.SCR,or .EXE扩展名的PE文件。该病毒可以重复感染文件，在局域网中传播速度极快。 　　10、PolyBoot(WYX.B) 　　PolyBoot (也叫WYX.B)是一种典型的感染主引导扇区和第一硬盘DOS引导区的内存驻留型和加密引导型病毒。这种感染方式与一般的引导型病毒是不太一样的。它也能感染软盘的引导区。这种病毒会把最初的引导区储存在不同位置，这取决于它是DBR、MBR还是软盘的引导区。它不会感染和破坏任何文件，但一旦发作，将破坏硬盘的主引导区使所有的硬盘分区及用户数据丢失。感染对象可以是任何的平台包括：Windows,Unix,Linux,Macintosh等。 　　为降低网络病毒给企业级用户带来的严重危害，近期江民正式开展"零风险安全运动"，从12月1日起三个月内，向全社会的政府、事业单位、企业、行业等用户提供江民杀毒软件KV 网络版正式产品供免费安装使用，活动期间，用户还可以得到免费安装、技术支持、应急服务等完全正式的技术服务。